《中华人民共和国个人信息保护法》(“《个保法》”)第三十八条规定,“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
……”
对于因开展业务等而需要向中国境外提供个人信息的中国境内企业,《个保法》明确提供了上述三条主要合规路径,即通过安全评估、进行个人信息保护认证,以及与境外接收方订立标准合同。
针对个人信息保护认证的合规路径,网信办于2022年11月发布了《个人信息保护认证实施规则》,明确了开展跨境处理活动的个人信息处理者,需要在符合GB/T35273《信息安全技术个人信息安全规范》的基础上,满足TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。《个人信息保护认证实施规则》同时也对认证模式、认证程序、认证结果等做出了进一步要求,为企业依靠开展个人信息保护认证的方式保证个人信息出境行为的合规性提供了基本的可操作性。
与很多企业及数据合规从业人士预期不同,《标准合同办法》和《标准合同备案指南》与数据出境安全评估机制下的实质要求较为类似,并没有大幅度进行简化。满足《标准合同办法》和《标准合同备案指南》的要求,对很多企业来说并不容易。
二、《个人信息出境标准合同》合规落地的主要步骤和工作方法
盘点:对出境个人信息情况进行全面梳理和盘点;
评估:开展“个人信息保护影响评估”,撰写评估报告;
整改:对于评估中发现的问题和风险采取整改措施;
签署:与境外接收方沟通、谈判,根据数据盘点情况填写《标准合同》,并与境外接收方签署;
备案:在《标准合同》生效之日起10个工作日内向所在地省级网信部门提交备案材料。
三、挑战一:出境数据盘点工作
(一)挑战
根据我们的经验,适用《标准合同》的企业与需要申报数据出境安全评估的企业相比,在出境个人信息数量、规模及敏感程度、企业的业务规模和场景等方面,前者通常不会比后者更复杂。但从《标准合同备案指南》的内容来看,网信办并未实质降低对前者数据盘点的要求。根据《标准合同备案指南》,个人信息处理者需提供包括但不限于下列与出境个人信息本身有关的信息:
企业整体业务与个人信息情况
个人信息处理者和境外接收方处理个人信息的目的、范围、方式,境外接收方处理个人信息的用途、方式等
出境个人信息的规模、范围、种类、敏感程度
处理敏感个人信息、使用个人信息进行自动化决策的情况
个人信息出境后的保存期限和地点
个人信息出境后向境外其他接收方提供的情况
境外接收方处理个人信息的全流程过程描述
需要注意的是,与数据出境安全评估和《数据出境安全评估申报指南(第一版)》相比,《标准合同备案指南》并未对数据出境链路、出境方式等信息的颗粒度进行说明。但参考我们协助企业开展数据出境安全评估工作的经验,网信办可能会在后续开展备案工作的过程中要求企业补充提供颗粒度更细的信息。
(二)应对
企业有必要制定完善的个人信息出境涉及业务的个人信息盘点工作计划、充分考虑个人信息出境涉及的各业务场景、系统、业务部门和境外接收方,提前预判个人信息盘点工作的困难,从而有序、高效推进个人信息盘点工作的进行。
四、挑战二:个人信息出境方本身的个人信息保护合规体系整改
《标准合同备案指南》要求个人信息处理者在《个人信息保护影响评估报告》中说明其自身的:
特别需要注意的是,《标准合同备案指南》还要求个人信息处理者说明其个人信息保护机构的信息,但并未说明其是否指代《个保法》所述的:
考虑到《个人信息保护影响评估》未对此进行特殊说明,我们倾向于认为上述要求仅指设立或指定一个个人信息保护的部门,并明确该机构的构成、职责、权利和工作内容等事项。
个人信息出境企业需证明其已建立符合中国法律要求的个人信息保护合规体系:
对于从未系统开展个人信息保护合规整改工作的企业,则需要尽快建立全面符合中国法律要求的个人信息保护合规体系,才能有效应对《个人信息保护影响评估报告》填写和网信办后续查验的需要。
五、挑战三:境外接收方的配合工作
订立《标准合同》、开展个人信息保护影响评估均需要境外接收方的大量配合工作。当涉及个人出境业务复杂、境外接收方众多时,如何有序、高效协调和获得这些境外接收方的配合,也对个人信息出境企业构成较大挑战。
除确认《标准合同》的条款并最终完成签署外,境外接收方需要提供的配合工作包括:
境外接收方需提供其基本信息,例如名称、地址、联系方式等。
境外接收方需提供其“个人信息保护能力”的说明,并明确为履行《标准合同》约定的义务将采取的技术和管理措施。
“境外接收方所在国家或地区个人信息保护政策法规情况”通常也需要境外接收方来进行配合提供。
境外接收方还需配合个人信息出境企业应对网信办可能的询问以及补充材料的要求。
六、挑战四:对“境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响”的评估
由于个人信息出境企业对于境外接收方法域的个人信息保护政策法规缺乏了解,加之《标准合同备案指南》对此项内容要求的颗粒度不详,个人信息出境企业难以在短时期内对本项内容提供全面、客观的评估。
个人信息出境企业有必要:
对本项评估内容制定专项工作计划,细化具体的评估问题和评估方式(例如可制定统一的标准评估问题问卷)。
尽快确定本项评估内容的负责人/负责方,可能的安排包括:
七、挑战五:企业实务中的一些疑难问题仍未得到解答
《标准合同》备案工作,同此前的数据出境安全评估机制一样,对于监管部门和企业均仍是一个新事物,还需要在实践中逐步完善和改进。《标准合同办法》和《标准合同备案指南》客观上也无法对企业可能面临的各种问题事先进行完美的预判,并提供事无巨细的具体指引。根据我们经验,企业常有下列典型问题,但目前还无法从《标准合同办法》和《标准合同备案指南》中直接找到答案:
对于复合场景的合同签订、评估和备案方式仍有待明确:
“备案”的难度到底有多大?
《标准合同办法》第十三条规定:“本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。”
关于这6个月的“宽限期”的具体含义,尚不明确,可能具有几种不同含义:
《数据出境安全评估办法》同样设置了6个月的“宽限期”,但是从实际情况来看,由于6个月宽限期过短,导致大量企业集中进行申报,同时网信办承载能力有限,目前仅有极个别企业已通过了网信办的安全评估,绝大部分需要申报数据出境安全评估的企业仍处于“评估中”、“补充/修改申报材料”、“未申报”的状态。
参照上述经验,我们预计,对于个人信息出境场景较为复杂、境外接收方较多或配合度低、信息系统较为复杂的个人信息出境企业而言,6个月的宽限期或“整改”期限并不充分,很可能出现6个月后仍未与境外接收方达成一致并完成《标准合同》的签署,或未完成个人信息保护影响评估报告的情况。
九、结论和建议
总体看来,《标准合同办法》和《标准合同备案指南》中的具体要求,对个人信息出境企业的《标准合同》订立、影响评估和备案等工作仍然提出了较大挑战。考虑到此项工作的时效性,我们建议个人信息出境企业尽早启动本文所建议的各项工作,制定详细的项目计划和工作方案,高效推进各项工作的进行,从而在6个月的限期届满前完成标准合同的订立、生效,并争取通过网信办备案。
作者:杨洪泉,安杰律师事务所科技、数据保护及网络安全业务的合伙人,尤为专注数据保护、网络安全、电信、互联网、社交网络、硬件和软件、技术采购和转让、分销和许可以及其他与技术有关的领域。